Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Windows Vista:
Ist das Betriebssystem für Unternehmen sicher
genug?
Fünf Jahre nach der Veröffentlichung von Windows XP bezweckt Microsoft mit Windows Vista
in erster Linie, Sicherheitslücken und die allgemeine Anfälligkeit für Malware und andere
Bedrohungen zu reduzieren. Es wurden mehrere neue Sicherheitsfunktionen eingeführt, um die
erhöhte Priorität der Sicherheit widerzuspiegeln. Dieses White Paper beschreibt die Windows
Vista-Sicherheit, gibt einen Überblick über das Schutzniveau, das von dem Betriebssystem
für Unternehmensbenutzer geboten wird und schätzt ein, inwieweit die neuen Funktionen
den Bestrebungen von Microsoft für ihr neues Desktop-Betriebssystem gerecht werden.
Sophos White Paper November 2006
sophos-vista-wpde.indd 1 08.12.2006 10:25:50Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
Windows Vista:
Ist das Betriebssystem für Unternehmen sicher
genug?
Übersicht Wie bei Windows XP überwacht das WSC die
Das neueste Desktop-Betriebssystem von Internet-Firewall und überprüft den Status
Microsoft, Windows Vista, enthält zahlreiche automatischer Updates und Antiviren-Software,
neue Funktionen, von der Benutzeroberfläche es wurde in Vista jedoch erweitert, um die
bis zum Zentrum des Betriebssystems. Aufgrund Überwachung von Anti-Spyware-Anwendungen
der zahlreichen Kritik an den Schwachstellen einzuschließen. Die Überwachung der
des Vista Vorgängers Windows XP hat Microsoft Sicherheitseinstellungen im Internet Explorer 7
den neuen Sicherheitstechnologien die höchste und der neuen Benutzerkontenkontrolle-Funktion
Priorität eingeräumt. Zu den Entwicklungen (siehe unten) wurde ebenfalls hinzugefügt.
gehören verbesserte Überwachung und Reporting
des Sicherheitsstatus, weniger Möglichkeiten für Einer der Beweggründe der Verbesserung
Angriffe und verbesserter Schutz vor Spyware. Es des WSCs ist es, die Endbenutzer über
gibt außerdem einen neuen Mechanismus, um Sicherheitsprobleme zu informieren, indem
schädliche Codes daran zu hindern, Änderungen sie in solchen Situationen alarmiert werden.
des Betriebssystem-Kernels vorzunehmen, und Obwohl dies für Privatanwender offensichtlich
verbesserte Browser- und Firewall-Funktionen. von Vorteil ist, sind diese Endbenutzeralarme
für Unternehmen und andere Organisationen,
wie das Bildungswesen und Behörden, sowohl
Wenn Sie sich unsere Investition in die nächste unzureichend als auch lästig und werden
Version von Windows [Vista] ansehen, sticht von ihnen möglicherweise aus diesem Grund
Sicherheit als das hervor, wofür wir die meiste deaktiviert.
Zeit aufgewandt haben – Microsoft trägt an dieser
Außerdem haben einige Hersteller von
Stelle eine große Verantwortung.
Sicherheitslösungen negativ darauf reagiert, dass
Bill Gates, RSA Konferenz 2006, San Jose das WSC nicht deaktiviert werden kann, wenn
alternative Sicherheitslösungen installiert werden,
obwohl Sophos nicht nachvollziehen kann, warum
Windows Security Center andere Hersteller Einwände gegen ein integriertes
Das Windows Security Center (WSC) läuft Sicherheitscenter haben sollten, das den Status
im Hintergrund, überwacht und meldet den seiner Software meldet.
Sicherheitsstatus eines Computers. Seit sie
erstmals von Microsoft in Windows XP (Service
Pack 2) eingeführt wurden, bietet die verbesserte Benutzerkontenkontrolle
Version in Vista nun mehr Integration mit Benutzerkontenkontrolle (User Account
anderen Vista-Sicherheitsfunktionen und mit Control (UAC)) ist eine der wichtigsten
Sicherheitslösungen Dritter. Sicherheitsfunktionen in Windows Vista. Ihr
1
sophos-vista-wpde.indd Sec1:1 08.12.2006 10:25:51Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
Ziel ist es, die Möglichkeit für Angriffe zu
minimieren und somit die Installation aktueller
Malware-Bedrohungen zu verhindern, wenn
Endbenutzer lokale Admin-Rechte haben.
Wie bei Windows XP erhalten Endbenutzer
standardmäßig Admin-Rechte. Anstatt jedoch
den Administratorstatus pauschal für alle
Anwendungen geltend zu machen, erzeugt
das Vista-Login zwei Sicherheitstoken:
StandardUser und Administrator.
Standardmäßig weist Vista Anwendungen das
StandardUser-Token zu, d.h. Anwendungen,
die keine Admin-Rechte erfordern, werden
ohne Eingreifen des Benutzers ausgeführt.
Viele Anwendungen erfordern jedoch
Admin-Rechte. In diesem Falle wird das
Administrator-Token angewandt und der Vistas UAC: Sicherheit auf einer weiteren Ebene
Benutzer aufgefordert, das Programm je nach
Bedarf abzubrechen oder zu erlauben, wie auf Prinzip des StandardUser-Tokens verhindert
dieser Seite dargestellt. außerdem, dass schädliche Anwendungen in den
Speicherbereich anderer Prozesse schreiben, eine
Methode, die häufig von Malware verwendet wird,
Eins steht fest: Microsoft muss sich damit um Personal oder Client Firewalls zu umgehen.
auseinandersetzen, dass bei UAC das Verhältnis
zwischen Leistung und Sicherheit nicht Leider ist UAC nicht nur sicher, sondern mit
seinen zahlreichen Alarmen, von denen viele
annehmbar ist. Wenn die aktuelle Version so
für Benutzer ohne technisches Know-how keine
bleibt wie sie ist, ist es sehr wahrscheinlich, dass Bedeutung haben, auch aufdringlich. Die Gefahr
zu viele Anwender sie komplett ablehnen und liegt darin, dass diese Anwender automatisch auf
wenn das der Fall ist, verlieren alle. "Erlauben" klicken, wenn Sie dazu aufgefordert
werden, ohne genau in Betracht zu ziehen, ob dies
Ed Bott’s Microsoft Report1 ratsam ist. Die andere Gefahr liegt darin, dass
UAC deaktiviert werden kann – viele Beta-Tester
Vom Sicherheitsstandpunkt aus gesehen ist haben diese Option tatsächlich gewählt – wodurch
UAC ein wichtiger Schritt nach vorn und das die verbesserte Sicherheit entfernt wird.
Prinzip des am wenigsten benötigten Privilegs
ist theoretisch gut, da standardmäßig der Zugriff
auf die Registrierung und das Dateisystem Windows Defender
eingeschränkt ist. Das heißt, dass Malware daran Windows Defender ist ein kostenloses Anti-
gehindert wird, sich automatisch in Speicherorte Spyware-Programm, das in Windows Vista
wie den Windows-Systemordner zu kopieren integriert ist und einige Adware, Spyware und
– zudem kann sie nicht in Registrierungsschlüssel andere unerwünschte Programme erkennen
geschrieben werden, um automatisch beim Start und entfernen kann. Die Software verwendet
des Betriebssystems ausgeführt zu werden. Das automatische Updates von Microsoft-Analysten,
2
sophos-vista-wpde.indd Sec1:2 08.12.2006 10:25:51Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
um neue Bedrohungen zu erkennen und zu Sicherheitssoftware) den Kernelbereich auf nicht
entfernen, sobald sie identifiziert sind. Dieser dokumentierte Weise verwenden und Microsoft
Schutz bietet keinen umfassenden Schutz vor Bedenken bezüglich der Kompatibilität mit den
Malware, obwohl die Informationen im WSC bestehenden Anwendungen hatte. Das bedeutet,
implizieren, dass dies der Fall ist. dass 32-Bit-Systeme weiterhin für Rootkit-Angriffe
Windows Defender unterstützt nur Windows XP mit anfällig sind. Der zweite Kernel-Mechanismus –
Service Pack 2 oder höher oder Windows Server das obligatorische Signieren von Treibern – wurde
2003 mit Service Pack 1 oder höher. Andere jedoch in 32-Bit und 64-Bit Vista implementiert
Betriebssysteme, darunter Windows 95/98/Me und kann so eingestellt werden, dass es verhindert,
und 2000, werden nicht unterstützt. Da Windows nicht signierte Treiber zu laden.
Defender den Verbrauchermarkt zum Ziel hat,
stehen keine zentralen Administrationsfunktionen Einige Hersteller von Sicherheitslösungen
zur Verfügung. Es bietet also zentral verwalteten haben sich beschwert, dass sie aus dem
Unternehmensnetzwerken mit mehreren Vista-Betriebssystem-Kernel durch KPP
Plattformen wenig an. "ausgeschlossen" wurden. Der Grund dafür
liegt darin, dass sie den Kernel von Microsoft
ändern müssen, um sicherzustellen, dass
Kernel-Schutz ihre bestehenden Produkte 64-Bit-Versionen
Es wurden zwei neue Mechanismen eingeführt, unterstützen können.
um den Betriebssystem-Kernel zu schützen –
Kernel Patch Protection (KPP) oder PatchGuard, Obwohl es zutrifft, dass nun eine gewisse
und obligatorisches Signieren. Abhängigkeit besteht, dass Microsoft Kernel-
Oberflächen anbietet, wodurch alle Hersteller von
KPP wurde in 64-Bit Vista implementiert, um Sicherheitslösungen gebremst werden könnten,
eine bestimmte Art schädlicher Aktivitäten wird dies durch die zusätzliche Sicherheit, die ein
zu verhindern, die den Betriebssystem-Kernel gesperrter Kernel bietet, mehr als aufgewogen.
manipuliert und zu schwerwiegenden Verletzungen Windows Vista mit KPP ist für Kunden ein
der Sicherheit führen und sich negativ auf die Schritt in die richtige Richtung – obwohl dies
Stabilität, Verlässlichkeit und Leistung des
Betriebssystems und von Benutzeranwendungen Integritätslevel Beschreibung
auswirken kann. Diese Art von Malware wird
Niedrig Nicht vertrauenswürdig
allgemein als "Rootkit" bezeichnet und wird oft
dazu verwendet, andere potentiell unerwünschte Mittel Standard für die meisten
Software, wie Bots und Spyware, zu tarnen. KPP Standardbenutzerprozesse
hindert Kernel-Mode-Treiber daran, erweitert zu System Uneingeschränkter Zugriff auf
werden oder Betriebssystemdienste zu ersetzen das System
und sollte darum Rogue-Treiber daran hindern, Hoch Administrativer Prozess kann
schädliche Änderungen am Kernel vorzunehmen. Dateien installieren
KPP wurde nicht zur 32-Bit-Version von Vista Vier Integritätslevel für obligatorische
hinzugefügt, da viele Programme (einschließlich Integritätskontrolle
3
sophos-vista-wpde.indd Sec1:3 08.12.2006 10:25:51Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
ein Software-Mechanismus ist und daher sehr Websites oder Malware gelöscht oder geändert
wahrscheinlich von Malware-Schreibern früher werden.
oder später umgangen wird – und Hersteller von
Sicherheitslösungen sollten das Dienstprogramm Die Funktion wird dabei durch einen neuen
begrüßen und damit arbeiten anstatt sich dagegen Mechanismus unterstützt, der sich Mandatory
zu stellen. Integrity Control nennt. Dabei wird jedem
Prozess ein Integritätslevel zugewiesen und jedes
Level schränkt den Zugriff auf Systemobjekte
Internet Explorer 7 (Registrierung, Dateisystem, andere Prozesse
Der integrierte Webbrowser von Windows usw.) ein.
Vista, Internet Explorer 7 (IE7), enthält
Sicherheitsverbesserungen, die zum Schutz Der neue IE7 geschützte Modus startet den IE mit
von Computern vor Phishing- und Spoofing- dem Integritätslevel "Niedrig" – dies ist niedriger
Attacken entwickelt wurden. Im geschützten als der Standard für die meisten Benutzerprozesse.
Modus hilft er zu verhindern, dass Daten und Dies trifft für alle Sicherheitszonen außer der
Konfigurationseinstellungen von schädlichen vertrauenswürdigen Zone zu. Heruntergeladene
Checkliste zur Sicherung von Windows Vista
Planen Sie jetzt Ihr Upgrade zu Windows Vista, da dieses Betriebssystem wesentlich sicherer ist
als seine Vorgänger. Es ist jedoch empfehlenswert, Qualitäts- und Stabilitäts-Reports im Auge zu
behalten, bevor Sie einen Termin für Ihren Übergang festlegen.
1 Installieren Sie eine Sicherheitslösung wie Sophos Anti-Virus, um vor bekannter und
unbekannter Malware zu schützen.
2 Stellen Sie sicher, dass Windows Vista, wo möglich, automatisch gegen Schwachstellen
gepatcht ist, zumindest für kritische Sicherheitspatches.
3 Verwenden Sie 64-Bit Vista für kritische Rechner, da Kernel Patch Protection mehr Sicherheit
gewährleistet und es weniger wahrscheinlich ist, dass es erfolgreich zum Ziel von Malware
wird.
4 Stellen Sie sicher, dass Ihre Sicherheitslösungen die 64-Bit-Versionen von Vista unterstützen;
sorgen Sie insbesondere dafür, dass ihre HIPS (Host Intrusion Prevention System)-Funktion
mit 64-Bit kompatibel ist.
5 Schulen Sie Endbenutzer darin, wie Benutzerkontenkontrolle (UAC)-Alarme zu interpretieren
und welche Maßnahmen zu ergreifen sind, damit Sie sich die Vorteile von UAC zu Nutze
machen können.
6 Schalten Sie das Windows Security Center nicht aus, da Remote- und Heimnutzer davon
profitieren. Sollten Sie aber Management Tools haben, mit denen Sie den Status Ihres
Netzwerks zentral überwachen können, ziehen Sie in Betracht, die Endbenutzeralarme von
WSC zu deaktivieren.
7 Verwenden Sie eine zentral verwaltete Sicherheitslösung, wie z.B. Sophos Endpoint Security,
mit der Sie Vista-Computer von nur einer Stelle aus überwachen, Richtlinien erstellen und
durchsetzen und Probleme schnell identifizieren und beheben können.
4
sophos-vista-wpde.indd Sec1:4 08.12.2006 10:25:51Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
Programme übernehmen das niedrige Überwachung, Richtlinienkonfiguration und
Integritätslevel, das schädliche Programme schnelle Reaktion, die Sicherheitsmanagement-
und PUAs daran hindern sollte, das System zu Konsolen auf Unternehmensebene zur Verfügung
infizieren und sich in den Browser zu integrieren. stellen.
IE7 enthält außerdem einen Phishing-Filter, der
Anwendern ein sichereres Browsen ermöglicht, Andere Sicherheitsfunktionen
indem sie benachrichtigt werden, wenn Websites Windows Vista enthält außerdem eine verbesserte
eventuell versuchen, ihre vertraulichen Daten Wi-Fi (Wireless Fidelity)-Sicherheit, Multi-
zu stehlen. Der Filter analysiert Website- Factor-Authentifizierung, BitLocker-Datenschutz,
Inhalte, indem er nach bekannten Merkmalen Netzwerkzugriffsschutz (Network Access
von Phishing-Methoden sucht und ein globales Protection)-Client und verbesserte Überwachung
Netzwerk von Datenquellen verwendet, um zu zur Einhaltung von Richtlinien.
entscheiden, ob die Website vertrauenswürdig ist.
In Windows Vista sind kabellose Netzwerke
Über die Einstellung von Microsoft zur standardmäßig sicherer. Support für das neueste
Privatsphäre der Benutzer gibt es viele und sicherste kabellose Netzwerkprotokoll, Wi-Fi
Diskussionen und viele Benutzer haben Bedenken, Protected Access 2 (WPA2), ist enthalten.
dass Informationen an Microsoft gesendet werden.
Microsoft antwortet damit, dass die Phishing-Filter Windows Vista enthält eine API, um das
keine persönlich identifizierbaren Informationen Hinzufügen von Smart Cards und anderen
sendet. Interessanterweise wird die IP- und Systemen, wie z.B. Biometrieverfahren, zur
URL-Datenbank von MSN verwaltet – die gleiche Windows-Authentifizierung zu vereinfachen, damit
Stelle, die ihren Werbetreibenden "beispiellose, es Hackern erschwert wird, auf Computer und
umfassende Web-Statistiken" versprochen hat.2 Daten über das Knacken von Kennwörtern oder
Social Engineering-Methoden zuzugreifen.
Windows Firewall Eine verbesserte Verschlüsselung ermöglicht
Windows Vista enthält eine neue Firewall, die über Unternehmen, sich vor Diebstahl oder dem Verlust
die Firewall von Windows XP mit Service Pack 2 geistigen Eigentums zu schützen. Windows Vista
hinausgeht. Filter für ausgehenden Netzwerkverkehr hat den Support für Datenschutz auf Dokument-,
auf Anwendungsbasis sowie standortbasierte Datei-, Verzeichnis- und Rechnerebene verbessert,
Profile wurden hinzugefügt, mit denen Benutzer u.a. kann definiert werden, welche Mitarbeiter
verschiedene Regeln je nach Netzwerkort einrichten auf bestimmte Daten zugreifen können.
können. Kodierungsschlüssel können nun auf Smart Cards
gespeichert werden. Das BitLocker-Disketten-
Die Standardrichtlinie erlaubt jedoch immer Kodierungssystem gibt einen gewissen Schutz
noch allen ausgehenden Datenfluss und die vor Hacker-Angriffen, die über das Booten von
Standardeinstellung bietet keinen zusätzlichen Wechseldatenträgern erfolgen.
Schutz zur Firewall in XP SP2.
Der Network Access Protection (NAP)-Client
Außerdem, obwohl eine gewisse Verwaltung kann dazu verwendet werden, Rogue- oder
über Gruppenrichtlinien zur Verfügung steht, ungeschützte Computer daran zu hindern,
bietet die zentrale Verwaltungsfunktion vollen Zugriff auf ein Netzwerk zu erlangen,
Unternehmensadministratoren nicht die Übersicht, er ist allerdings erst wirklich implementierbar,
5
sophos-vista-wpde.indd Sec1:5 08.12.2006 10:25:51Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
wenn die notwendigen Server-Komponenten es mehr Sicherheit vor Malware bietet, stoppt es
mit der nächsten Version von Windows Server sie nicht. Es gibt keinen Zweifel, dass Malware
veröffentlicht werden, Codename Longhorn, für Vista schon bald nach der Veröffentlichung
voraussichtliche Veröffentlichung Ende des Jahres des Betriebssystems erscheinen wird. Um die
2007. Anforderungen von Unternehmen zu erfüllen,
muss Microsoft seine Malware-Expertise, seinen
Um die Einhaltung von Richtlinien zu unterstützen, Support und die zentralen Verwaltungsfunktionen
überwacht und protokolliert Windows Vista wesentlich verbessern.
den Zugriff auf eingeschränkte Ressourcen,
damit Unternehmen beispielsweise unbefugte
Benutzer identifizieren können, die versuchen, auf
vertrauliche Daten zuzugreifen.
Die Sophos-Lösung
Sophos Anti-Virus für Windows 2000/XP/2003/
Schlussfolgerung Vista unterstützt sowohl 32-Bit- als auch 64-Bit-
Microsoft hat viel Zeit und Ressourcen in den Versionen von Vista und enthält unsere HIPS-
Sicherheitsaspekt der neuen Version von Windows Technologie Behavioral Genotype Protection.
investiert. Windows Vista enthält mehrere
Verbesserungen, die bedeuten, dass Heimnutzer Weitere Infos und Test-Software für Sophos
sicherer sind. Windows Vista ist jedoch keines Lösungen unter www.sophos.de
Wegs ein sicheres Betriebssystem und obwohl
6
sophos-vista-wpde.indd Sec1:6 08.12.2006 10:25:52Sophos White Paper Windows Vista: Ist das Betriebssystem für Unternehmen sicher genug?
Quellen
1 blogs.zdnet.com/Bott/
2 "Vista von Microsoft wird den Sekundärmarkt für Windows-Sicherheit nicht stoppen".Yankee Group
Research, Inc.
Mai 2006
Über Sophos
Sophos ist einer der weltweit führenden Hersteller von Integrated Threat Management-Lösungen speziell für Unternehmen,
das Bildungswesen und Behörden. Durch über 20 Jahre Erfahrung und vereintes internes Antiviren-, Antispyware- und
Antispam-Fachwissen schützen die SophosLabs selbst komplexe Netzwerke vor bekannten und unbekannten Bedrohungen.
Unsere zuverlässigen, einfach zu bedienenden Produkte schützen über 35 Millionen Benutzer in mehr als 150 Ländern
vor Viren, Spyware, Hackern, unerwünschten Anwendungen, Phishing, Spam und dem Missbrauch von E-Mail-Richtlinien.
Unsere ständige Wachsamkeit ist Grundlage für unser internationales Wachstum, unsere wachsende Benutzerbasis und
steigenden Gewinne. Unsere sofortige Reaktion auf neue Bedrohungen wird durch unseren unternehmensorientierten,
technischen 24/7-Support ergänzt, wodurch wir das höchste Niveau an Kundenzufriedenheit in der Branche erreichen.
Boston, USA • Mainz, Deutschland • Mailand, Italien • Oxford, UK • Paris, Frankreich
Singapur • Sydney, Australien • Vancouver, Kanada • Yokohama, Japan
© Copyright 2006. Sophos Plc.
All registered trademarks and copyrights are understood and recognized by Sophos.
Kein Teil dieser Publikation darf ohne schriftliche Genehmigung des Copyright-Inhabers in jeglicher
Form vervielfältigt, gespeichert oder übertragen werden.
sophos-vista-wpde.indd Sec1:7 08.12.2006 10:25:52Sie können auch lesen
